テクノロジー

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーー脆弱性の克服などセキュリティー対策に尽力すべきだ

宮本久仁男氏

宮本久仁男氏

 今回は、株式会社NTTデータ(東京都江東区)品質保証部情報セキュリティ推進室の「NTTDATA-CERT(Computer Emergency Response Team)」シニアエキスパートである宮本久仁男氏の2回目。

-- 前回、宮本さんは2013年夏、日本の中央省庁がサイバー攻撃を受けたことに関し、その攻撃の中には「ゼロ・デイ脆弱性」が使われたものもあった、と言いました。ということはソフトウエアには「未発見の脆弱な部分」が多数あるということですね。

宮本 はい。どれくらいあるのか正確には分からないのですが、よく言われているのは「プログラム上の誤り・欠陥である『バグ』のないソフトウエアなどあるわけがない」ということです。また「ソフトウエアの規模が大きくなればなるほど『バグ』の数も多くなる」とも言われています。バグのうち悪用が可能だと確認されたものが「脆弱性」として管理されています。

 例えばマイクロソフト社のWindowsの場合、開発にあたっては多くの試験を実施し、脆弱性をなくそうとしていることは想像に難くありません。それでもなお見つかっていない脆弱性が多くあると考えられます。同社は毎月第2水曜日に、新たに見つかった脆弱性と、その修正ファイルを一覧表にして発表しています。それを見ると「今月はいっぱい出てきたな」と思う時もあります。

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーー100件を超えた2013年の脆弱性の修正情報

-- これまで修正され、公開されたものはどれぐらいあったのでしょうか。

宮本 Windowsだけでなく、同社の他のソフトウエアも含めて見た場合、13年に公開された脆弱性の修正情報は100件を超えました。1件の情報に複数の脆弱性が含まれることも多いことから、報告・修正された脆弱性の数は、それ以上になるのではないでしょうか。

 ただし前回、説明したとおり、サイバー攻撃の多くは使い古された〝道具〟がまだ使われています。それは①既に攻撃方法が確立されており、低コストで実行できる②ツール化された安価なものが流通しており、簡単に入手できる--などからです。

 これに対してゼロ・デイ脆弱性を使っての「ゼロ・デイ・アタック」は少なく、全体の1%未満〜5%程度という調査結果も出ています。どうしてか。ゼロ・デイ・アタックは道具としては強力ですが、それには大変なコストがかかるからです。ですから「ここ一番」という時に使われます。例えば、09年に起きた「スタクスネット・ウイルス」によるイラン核施設に対する攻撃では、物すごいカネが掛けられ、贅沢にも4つのゼロ・デイ脆弱性が使われていました。

-- この攻撃は米国とイスラエルが共同で行ったと言われていますが。

宮本 「攻撃を絶対に成功させたい局面ではゼロ・デイ脆弱性への攻撃手段を躊躇することなく投入する」と言われています。ただし、それはカネをふんだんに出せる攻撃者の考え方と言っていいでしょう。ただ、この数カ月でゼロ・デイ脆弱性が使われる頻度が高くなってきているように見えます。油断したら足元をすくわれそうです。

-- ゼロ・デイ・アタックを受けた場合、それはすぐに分かるものですか。

宮本 即座には無理です。ただし「攻撃されたかもしれない」との疑いが持たれたPCについて汗をかきながら分析していくと、PC上で変なものが動いており、どこかの不審なホストにアクセスしているようだ、というのが2、3日で分かることもあります。しかし、どういう被害が出ているかが分かるまでには、もっと時間がかかります。

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーーPCの利用者に脆弱性をケアさせるのはおかしい

-- コンピューターには脆弱性が付き物であることは分かりました。私たちユーザーは「脆弱性」にどう対処していけばいいのでしょうか。 

宮本 具体的によく言われているのは「OSやアプリケーション環境の最新化」と「セキュリティーソフトウエアの最新化」です。既に判明・対処されている脆弱性についてはOSやアプリケーションの最新化によって、またウイルスをはじめとするマルウエア(悪意あるソフトウエア)のうちよく使われるものにはセキュリティーソフトウエアで対応可能です。

 ゼロ・デイ脆弱性が使われた攻撃については多くの場合、感染や被害が発覚した後の対応が多くなります。このような場合には、攻撃された事実を早期に特定することが重要です。発見自体もPC単体を調査した結果だけではなく、通信記録をはじめとする証跡類の精査を行った結果が手掛かりになることも多いですね。

-- 宮本さんはかねがね「家電感覚で使っても危なくないコンピューターを提供することが作り手側の課題だ」と発言していますね。作り手側は、ソフトウエアの作り方をもっと考えてほしいということですか。

宮本 そうです。ソフトウエアを作る側は脆弱性の問題を含めてセキュリティーにもう少し気を使ってもいいのではないか、もしくはそういうふうに考える人が作り手側にもっと増えてほしい、ということです。IT業界に限らず、あらゆる業界でソフトウエアが「キーパーツ」になってきています。そうした中で日々、ソフトウエアが内包している脆弱性の脅威にさらされている利用者がいるわけです。その利用者に脆弱性をケアさせるというのは作り手側としてどうなのか、と思います。

 例えば、ある日、それまで使っていたエアコンのスイッチを入れたところ「脆弱性が見つかりました。修正ファイルを入手して、対応してください」と言われたとした場合、「何だ? これは」と思うに違いありません。それと同じです。

-- 脆弱性問題の続きと、サイバー攻撃に対処し得る人材育成への取り組みついては次回、伺いましょう。

 
経済界 電子雑誌版のご購入はこちら!
雑誌の紙面がそのままタブレットやスマートフォンで読める!
電子雑誌版は毎月25日発売です
Amazon Kindleストア
楽天kobo
honto
MAGASTORE
ebookjapan
 

雑誌「経済界」定期購読のご案内はこちら

経済界電子版トップへ戻る

関連記事

好評連載

エネルギーフォーカス

一覧へ

緑の経済成長とエネルギー

[連載] エネルギーフォーカス

Energy Focus

[連載] エネルギーフォーカス

今後、10年後の電力業界の様相(2)

[連載] エネルギーフォーカス

発電単価から既存原発の経済性を考える

テクノロジー潮流

一覧へ

科学技術開発とチームプレー

[連載] テクノロジー潮流

テクノロジー潮流

[連載] テクノロジー潮流

エボラ出血熱と情報セキュリティー

[連載] テクノロジー潮流

21世紀の日本のかたち 農電業と漁電業

[連載] テクノロジー潮流

工学システムの安全について

[連載] テクノロジー潮流

エネルギー移行と国民の価値観の変化

ビジネストレンド新着記事

注目企業

一覧へ

社員17人で41億円を売り上げた社長が語る「中国で越境ECを成功させる秘訣」―栖原徹(ピルボックスジャパン社長)

今や米国と並び、世界最大級の消費市場となった中国。その中国で爆発的なヒットを飛ばしているのが健康食品・サプリメントなどの越境ECで展開するピルボックスジャパンだ。同社を率いる栖原徹社長に、中国市場で成功するための秘訣を聞いた。(取材・文=吉田浩) 栖原徹・ピルボックスジャパン社長プロフィール…

栖原徹・ピルボックスジャパン社長

意思決定の効率化を実現しデータ活用に革命を起こす―インティメート・マージャー

総合事業プロデューサーとして顧客と共に成長する―中尾賢一郎(グランドビジョン社長)

新社長登場

一覧へ

森島寛晃・セレッソ大阪社長が目指すクラブ経営とは

前身のヤンマーディーゼルサッカー部を経て1993年に創設されたセレッソ大阪。その25周年にあたる2018年12月に社長に就任した森島寛晃氏は、ヤンマー時代も含めて通算28年間セレッソ一筋、「ミスターセレッソ」の愛称を持つ。今も多くのファンに愛される新社長が目指すクラブ経営とは。聞き手=島本哲平 Photo=藤…

森島寛晃・セレッソ大阪社長

カリスマ創業者の後任として描く「新しいマネックス証券像」― マネックス証券社長 清明祐子

「若者需要の開拓でビール市場を盛り上げていく」塩澤賢一(アサヒビール社長)

イノベーターズ

一覧へ

非大卒就職マーケットの変革に挑む元教師の挑戦―永田謙介(スパーク社長)

日本企業の年功序列と終身雇用が崩壊に向かう中、制度を支えてきた大学生の新卒一括採用の是非もようやく議論されるようになってきた。一方、高校卒業後に就職する学生のための制度は旧態依然とし、変化の兆しがほとんど見えない。こうした現状を打ち破るべく、非大卒就職マーケットの改革に挑戦しているのがSpark(スパーク)社…

起業家にとって「志」が綺麗ごとではなく重要な理由―坂本憲彦(一般財団法人立志財団理事長)

勉強ノウハウと法律知識で企業の「働き方改革」を促進する―鬼頭政人(サイトビジット社長)

大学の挑戦

一覧へ

専門分野に特化した“差別化戦略”で新設大学ながら知名度・ブランド力向上を実現――了徳寺大学・了徳寺健二理事長・学長

2000年設立で、了徳寺大学が母体のグループ法人。医療法人社団了徳寺会をグループ内に持つ。大学名の「了」は悟る、了解する、「徳」は精神の修養により、その身に得た優れた品性、人格を指す。「了徳寺」は人間としての品性、道を論す館の意味を込めた大学名だ。 聞き手=本誌/榎本正義 、写真/佐々木 伸 …

大学の挑戦

創立100周年、西南学院大学・K.J.シャフナー学長「世界に貢献しインパクトを与える人材を育てる」〜国際交流・就職支援・インターネット出願〜 

「“STAND BY YOU”のスローガンの下、学生一人ひとりに寄り添う教育を」――中央学院大学・佐藤英明学長

経済界からのお知らせ

最新号のご案内

経済界2020年4月号
[特集] 僕らが宇宙をめざす理由
  • ・岩本裕之(JAXA新事業促進部長)
  • ・松尾剛彦(内閣府宇宙開発戦略推進事務局長)
  • ・岡島礼奈(ALE社長)
  • ・永崎将利(Space BD社長)
  • ・並木文春(IHI理事 宇宙開発事業推進部長)
  • ・宇宙視点で新ビジネス!
  • ・月面農場も夢じゃない キリンのジャガイモ大量増殖技術が宇宙の食を支える
  • ・スタートアップが切り拓く宇宙農業の未来
  • ・20万ドルで飛び立つ 丸い地球と満天の星空へ
  • ・宇宙旅行の前に、宇宙を感じる旅へ
  • ・新薬実現のきぼうは地上400キロの実験場にあり
[Special Interview]

 酒巻 久(キヤノン電子社長)

 宇宙事業に必要なことは「成功を信じてやるしかない」

[NEWS REPORT]

◆いよいよ始まる携帯5G 膨らむ期待と直面する課題

◆23年の長期政権に幕を引く イオン・岡田元也社長の残したもの

◆打倒アマゾンへ 楽天の送料無料化は吉と出るか

◆連続加入者増に赤信号 WOWOWを脅かす定額配信

[総力特集]

 2020年注目企業38

ページ上部へ戻る